Salt Security hat in einigen chatgpt-Plugins kritische Schwachstellen entdeckt, über die Angreifer unbefugten Zugriff auf Benutzerkonten auf Plattformen Dritter erhalten könnten. Die Rede ist von Plugins, die es ChatGPT ermöglichen, Vorgänge auszuführen, wie zum Beispiel das Bearbeiten von Code auf GitHub oder das Abrufen von Daten von google Drive.

Bildquelle: ilgmyzin / unsplash.com

ChatGPT-Plugins sind alternative Versionen eines KI-gestützten Chatbots und können von jedem Entwickler veröffentlicht werden. Experten von Salt Security haben drei Schwachstellen entdeckt. Das erste betrifft den Plugin-Installationsprozess – ChatGPT sendet den Installationsbestätigungscode an den Benutzer, aber Angreifer haben die Möglichkeit, ihn durch einen Code zu ersetzen, um ein bösartiges Plugin zu installieren.

Die zweite Schwachstelle wurde in der PluginLab-Plattform entdeckt, die zur Entwicklung von ChatGPT-Plugins verwendet wird; es gab keinen ausreichenden Schutz für die Benutzerauthentifizierung, wodurch Hacker den Zugriff auf ihre Konten abfangen konnten. Eines der von diesem Problem betroffenen Plugins war AskTheCode, das die Integration von ChatGPT und GitHub ermöglicht.

Die dritte Schwachstelle wurde in mehreren Plugins entdeckt und basierte auf Manipulationen mit Umleitungen bei der Autorisierung über das OAuth-Protokoll. Außerdem war es dadurch möglich, Zugriffe auf Konten auf Drittplattformen abzufangen. Die Plugins verfügten nicht über einen Mechanismus zur Überprüfung von URLs bei der Weiterleitung, was es Angreifern ermöglichte, bösartige Links an Benutzer zu senden, um deren Konten zu stehlen.

Salt Security sagte, es sei dem Standardverfahren gefolgt und habe OpenAI und andere Parteien über seine Ergebnisse informiert. Die Fehler wurden zeitnah behoben und es konnten keine Hinweise auf Exploits gefunden werden.

Wenn Sie einen Fehler bemerken, wählen Sie ihn mit der Maus aus und drücken Sie STRG+ENTER.

5/5 - (295 votes)
Anzeige
Nina Weber
Nina Weber is a renowned Journalist, who worked for many German Newspaper's Tech coloumns like Die Zukunft, Handelsblatt. She is a contributing Journalist for futuriq.de. She works as a editor also as a fact checker for futuriq.de. Her Bachelor degree in Humanties with Major in Digital Anthropology gave her a solid background for journalism. Know more about her here.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein